Kalandok a cybervilágban III

Sleepy Yoda
Originally uploaded by ribizlifozelek

Hijackthis – harc a logfile-okkal

Tovább olvastam. Megismerkedtem egy zseniális eszközzel, a Hijackthis-szel. Ez megmutatta, hogy mi fut valójában a gépen. Rengeteg olyan program, ami nem kell és ami foglalja a memóriát. Programok, amik havonta egyszre letöltenek valami frissítést, ami nem is kell. A Hijackthis az információkat egyes sorközzel írt 4-5 oldalas logfile-ok képében jeleníti meg. Ez így néz ki:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

Ültem a heverőn egy bögre kávéval és a kutyával és ellenőriztem a logfiléket. Minden egyes filenevet leellenőriztem, két adatbázisban, az-e és ott van-e, ahol kell legyen. (A Micosoft támogatta adatbázisok szinte mindenre azt mondták, létfontosságú, még a Real Playerre is.
Mire végére értem a papírhalomnak, három bögre tejeskávénak és az újabb napnak, megvolt a három kakukktojás. Kiírtásukhoz Safe Mode-ba kell kapcsolni a Windowst. Ezt a gép bekapcsolása után az F8-as gomb nyomogatásával lehet elérni. A gond az, ha gyorsan nyomom le, nem történik semmi, ha lassan, akkor se történik semmi. Ha meg túl sokat nyomogatom a gombot, leáll a gép. Ha leáll a gép, utána első alkalommal a rendszer nem hajlandó felállni. Csak fekszik, mint Yoda egész nap.
Idővel sikerült Safe Mode-ban elindítani a gépet és lelőni a vírusokat. Eltüntek a kártevők, minden működött, egészen a következő bekapcsolásig. Akkor ismét előjöttek a hibák.
- Installáld le baltával, verd szét kalapáccsal! – szólt Anikó és a józan ész hangja.
Újabb hosszadalmas olvasás következett. Egy sárga jegyzettömbe írtam ötleteket, de a vírus (trójai? rootkit?) maradt.
- Installáld le baltával, verd szét kalapáccsal! És vegyél egy Mac-t!
Csak azért nem adtam fel és nem installáltam le baltával, vertem szét kalapáccsal, mert takarítani kellett volna utána. És azért nem telepítettem újra, mert nem tudtam, hol az install CD.
Lefuttattam több online vírusirtót – azt legalább sikerült elérni, hogy működjenek: eddig mind lefagyott egy adott ponton. Az adott pont a Microsoft MSN által kreált valami volt: egy nagy halom file, ismeretlen emberek címével, tapétáival, képeivel, amik egymásba fonódtak. Ha Windowsból néztem rá a (rejtett) filékre, jobb esetben összeomlott minden. Rosszabban a kék halál jött. A legrosszabban az összeomlás után a gép kék halállal indult.
- Installáld le baltával, verd szét kalapáccsal!
DOS-ból sikerült a halmot kitörölni. Azonban az egész könyvtárakat alkönyvtáraikkal együtt törlő parancsok nem működtek, egyenként lehetett kitörölni mindent a végétől – illetve fiktív file-okkal felülírni. Ezzel eltelt egy újabb nap. Hajnali kettőkor viszont már futottak az online vírusirtók.
Találtak is mindenfélét – kivéve azokat a dolgokat, amiket a Hijackthis megmutatott. Olvastam tovább: a legjobb program rootkit-ek azonosítására a gmer, mondták egyesek. Nosza, telepítettem egy gmer-t. Rootkitet nem talált, de újabb logfilékkel lettem gazdagabb.
A gmer kinyírta a Hijackthis által megtalált elemeket.
Találtam egy újabb gyanús filét, aminek semmi keresnivalója nem volt a gépen. Ki se lehetett törölni, de a Windows, se a DOS nem látta. Viszont felülírni se lehetett, még Safe Mode-ban sem.
- Installáld le baltával, verd szét kalapáccsal! – javasolta Anikó.
Aztán valahogy sikerült felülírni és utána bevetettem a nagyágyut. A guruk azt tanácsolták, mielőtt a user baltával intallálja le a Windowst a gépről és szétveri baltával, próbálja ki az egyetlen normális vírusirtót, a NOD32-t.
Szkeptikus voltam, gondoltam, ha nem működik, felteszek a gépre egy Linuxot és a Windows dokumentációt elégetem az Oquirrh-hegység csúcsán, porait pedig beleszórom a Nagy Sóstóba.
De a NOD32 működött: eltüntek a gyanús file-ok és nem jelentek meg cicis nénik a vírusírtók honlapjai helyén.
Persze, a vírusirtók minőségét tekintve, lehet, hogy ez komoly veszteség.